合盛律师事务所主持律师张绍斌认为,这次《资安法》的修法应该要破除官民分治的法律架构,让同样的违法行为,不会因为公务机关或特定非公务机关的身份不同,而会受到不同的惩处。(摄影/洪政伟)
行政院日前提出了《资通安全管理法》(以下简称资安法)的修正草案,并已经在立法院通过一读。此次修法主要是因应数位发展部(以下简称数发部)的成立,进行主管机关的修订,并且将现行的「国家资通安全会报」正式纳入法律体系。
《资安法》规范的范围涵盖了公务机关与特定非公务机关,这意味著数位发展部下设的资通安全署(以下简称资安署)将负责监督与稽核各机关的资通安全维护计划。此外,修法还将「禁用危害国家资通安全产品」的规定提升到法律层级,明确限制危害国家资通安全的产品使用,以强化资通安全的保护措施。
针对特定非公务机关,修法要求其设立资安长,并纳入行政检查的范畴。如果这些机关规避、妨害或拒绝行政检查,将面临新台币十万元以上、一百万元以下的罚锾。若资安事件涉及个人资料外泄,则会依据《个人资料保护法》进行处理。这些新规定强化了对于资通安全事件的管理与处罚。
《资安法》此次的修法,看似对于先前一些受到争议的条文进行调整,也新增几条《资安法》施行过程中,各界关注的重点。不过,现任合盛律师事务所主持律师张绍斌逐条剖析此次修法条文时表示,这次修法应该从更深层次的本质出发。他认为,目前的《资安法》存在著「官民分治」的架构,这种区分应该被打破,才是修法的根本方向。
张绍斌是台湾司法界少见的,具有科技专长的法律人,他是司法官班第33期结业,先前曾经担任天下第一检、台北地检署智慧财产及电脑犯罪专组主任检察官,离开公职担任律师后,也担任行政院资通安全稽核委员,并于司法官学院进行讲座。
张绍斌专精各种刑事案件、电脑网路犯罪、智慧财产犯罪、经济和金融犯罪、个资法和营业密法等争议事件,之前也协助修订「电脑网路犯罪专章」时,后续的条文讨论和付委等修法过程。
他现在除了担任中华民国电脑稽核协会理事,也担任东吴法研所资安组兼任助理教授,教授内容包括资讯、演算法、各种网路攻击手法、《个资法》和《资安法》等相关内容,并担任金融研训院菁英讲师和法务部调查局资通安全咨询顾问。
张绍斌认为这次的修法,应该要解决根本上的法律框架问题,才能真正发挥《资安法》的立法目的。
他进一步解释,台湾目前的法律中,只有《个资法》和《资安法》是针对公务机关与非公务机关分别进行规范的;同样的法律,却因适用对象不同而产生不同的法律规范,这样的制度在法律本质上并不合理。他认为,行政院在提出修法草案时,应该趁机打破这种官民分治的框架,让法律适用的范围更加全面和一致。
张绍斌质疑,网路无国界,资安事件的发生也无法局限在特定的公务机关或非公务机关。因此,他认为,将资安法的规范仅限于部分非公务机关,无法有效应对资安威胁的多样性和广泛性。
他指出,依照《行政程序法》第六条的规定,「行政行为,非有正当理由,不得为差别待遇」,这意味著无论是公务机关还是特定非公务机关,资通安全的责任应该是相同的。
张绍斌强调,现行的《资安法》在处理公务机关与非公务机关的资安事件时,仍存在许多制度性的差异。例如,非公务机关可能面临更为严苛的稽核要求与处罚规定,而公务机关则因法律的不同适用,可能享有较为宽松的标准。他认为,这样的区别对待无助于提升整体的资通安全防护,反而可能让一些机关或企业在法律的灰色地带游走,规避责任。
张绍斌呼吁,未来的《资安法》应该更加注重资通安全的整体性与协同性。无论是公务机关还是非公务机关,都应该承担起相同的资安责任,并接受一致的稽核与检查。这样不仅能确保国家的资通安全,也能有效提升社会整体对资安事件的防范能力。
第一:应打破《资安法》官民分治法律框架
《资安法》于2018年6月6日制定公布,并于2019年元旦实施。当初制定《资安法》时,主管机关设定为行政院,而当时已成立的资通安全处,因为是行政院的四级机关,只能作为幕僚机关并无法发公文,因此无法作为《资安法》的主管机关。数位发展部于2022年8月27日成立后,掌管国家资通安全业务,并设立资安署负责国家资通安全业务。
修法重点第一点是,张绍斌认为,《资安法》的修法最重要的部分是废除官民分治的法律架构。台湾现行的各种法律中,只有《个资法》和《资安法》采用同一套法律规范,但会因身分或适用机关的不同而有不同的规范或惩处。
根据《资安法》第七条规定,该法规范了公务机关及特定非公务机关,并要求符合资通安全责任等级的要求,从管理、技术、认知及训练等面向办理资通安全防护措施。
从《资安法》的章节内容分类来看,第二章主要规范「公务机关资通安全管理」,第三章则规范「特定非公务机关资通安全管理」。不论是从条文内容还是章节分类,都可以清楚看出,《资安法》主要管辖的范围包括公务机关及特定非公务机关。
台湾官民分治法律的滥觞始于《个资法》。根据《个资法》,第二章规范「公务机关对个人资料之搜集、处理及利用」,第三章则规范「非公务机关对个人资料之搜集、处理及利用」。
不论从《资安法》或《个资法》的内容或章节来看,都是同一套法律分别规范「公务机关及特定非公务机关」以及「公务机关及非公务机关」。两者的差异在于《资安法》规范的「特定」非公务机关,也就是《资安法》第三条、第二十条、二十一条所规范的对象,包括:特定关键基础设施提供者,以及特定关键基础设施提供者之外的特定非公务机关──公营事业及特定财团法人。
张绍斌从法的观点指出,官民分治法律最大的弊端在于,「官」本身拥有诠释、解释法条的权力,而民间则没有,所有的惩处和解释都是由「官」来决定,这有球员兼裁判之嫌。
他表示,根据《个资法》,公务机关及非公务机关都有责任依法搜集、处理和利用个资。但实际上,公务机关违反个资法时,依据《个资法》第二十八条第一项规定:「公务机关违反本法规定,致个人资料遭不法搜集、处理、利用或其他侵害当事人权利者,负损害赔偿责任。但损害因天灾、事变或其他不可抗力所致者,不在此限。」基本上,公务机关因为依法行政的特性,很少受到惩罚,反而是非公务机关更容易因违反个资法而受到惩处。
同样的情况适用于《资安法》,根据第二十八条规定,「公务机关所属人员未依本法规定办理者,应按其情节轻重,依相关规定予以惩戒或惩处。」前述惩处事项的办法,由主管机关订定;特定非公务机关所属人员未依本法规定办理,情节重大者,由特定非公务机关依规定予以惩处。
张绍斌表示,同样的违法行为,因为身份不同(公务机关及特定非公务机关),会受到不同的惩处。这种官民分治的法律架构,对于《资安法》的推动,其实是一大弊端,应该正本清源,废止这种架构。「官民分治的结果就是,官永远不会违法。」张绍斌强调。
第二:主管机关从行政院更替为数位发展部
《资安法》原先主管机关为行政院,但数位发展部在2022年8月27日揭牌成立后,并设立办理国家资通安全业务的数位发展部资通安全署,趁此次修法重新调整主管机关。(图片来源/数发部)
修法重点之一,在于重新指定《资安法》的主管机关。张绍斌表示,过去的《资安法》将主管机关设为行政院,这样的规定导致民众在面对资安事件时,没有其他救济途径,一旦有争议,就只能依据《行政诉讼法》直接提起行政诉讼。这种作法虽然保障了人民的权益,但也使得诉讼成为解决争端的唯一手段,无形中增加了行政争讼的负担,也限制了民众在法律上的选择。
此次修法将主管机关从行政院改为数位发展部,并设立数位发展部下的资通安全署来负责资安事务。张绍斌认为,这样的改变不仅符合数位发展部成立的宗旨,也能让《资安法》在法律救济层面更加完善。
他认为,透过将主管机关调整为数位发展部,政府可以在处理资安相关事务时,提供更具专业性和针对性的服务,提升行政效率。同时,当民众或企业与政府之间产生资安争议时,也能够先透过资通安全署或其他行政机关进行沟通与调解,而非立即进入诉讼程序。
这样的修法带来更为灵活的处理模式,避免诉讼成为唯一的解决方式。张绍斌指出,行政诉讼虽然保障人民对于行政行为的监督权,但一旦进入诉讼程序,双方耗费的时间与资源都极大,对于一般民众和企业来说,过于繁琐且昂贵。因此,修法通过后,让民众和企业在面对资安争议时,有更多选择,包括在行政系统内进行争议调解与诉愿,避免进一步激化矛盾。
数位发展部资通安全署的设立,对于处理资安事件将更加专业。张绍斌表示,过去行政院负责的范畴过于广泛,无法针对性处理每一项资安问题;透过设立专责的资通安全署后,政府可以更有效针对资安法规范的落实情况,进行审查、执法与调解,让资安管理更具精准性。此外,这样的架构调整也使得政府部门间的权责划分更加清晰,避免因资安问题涉及多个部门时,出现权责不明或推诿的情况。
张绍斌进一步指出,数位发展部的成立正是为了应对日益复杂的数位发展与资通安全挑战。随著数位经济的快速发展,资安威胁与日俱增,此次修法的调整,让资安事务由专责机构管理,不仅提升了法规的执行效率,也让政府在处理资安问题上更具前瞻性与灵活性。
此次修法将资安法主管机关调整为数位发展部,并成立专责的资通安全署,不仅是组织架构的改变,更是资安治理逻辑的转变。张绍斌认为,这提供更灵活的行政救济渠道,减少了行政诉讼的压力,并透过专业机构来管理国家的资通安全事务,进一步提升政府处理资安事件的效率与专业度。
第三:特定非公务机关公告的必要性
张绍斌进一步表示,政府应该公告「特定非公务机关」的名单,而不应该因为担心中共得知而选择隐瞒。根据《资安法》第三条第六项与第八项的规定,这些机关涉及维护关键基础设施,必须经中央目的事业主管机关指定并送行政院核定。张绍斌对于政府因种种原因不愿公告名单,持保留意见。
他强调,美国和中国都已经公告各自的关键基础设施名单,这样做是为了确保这些设施的法律权利和义务得以明确,从而促进合法和有效的管理。如果名单不公开,这些设施的权利与义务将无法确认,导致管理上的漏洞。
张绍斌提出一个情境:当主管机关发函给关键基础设施时,如果只有少数高阶主管或负责人知道该公司属于关键基础设施,这封来函可能会在一般公司内部流转,增加机密外泄的风险。尤其在涉及密件的情况下,如果权利和义务不清,相关人员的资安意识不足,将无法保证法规遵循。
他指出,关键基础设施涉及的供应链合作业者、资讯委外业者,甚至IT驻点人员,也需要知道这些设施的权利和义务,才能真正做到知法守法。因此,他对政府坚持不公告名单的做法表示不解,并认为应该根据国家安全、社会公共利益、国民生活或经济活动的影响,公开这些设施的名单。
不同类别的关键基础设施有众多主管机关,指定名单之前,不应该只是坐在办公室讨论,而是应该要真正理解这些关键基础设施,对于国家安全、社会公共利益、国民生活或经济活动,是否会造成重大影响。
他说:「主管机关才是最了解关键基础设施重要性的上级机关,最好的方式是,当主管机关指定关键基础设施后,送交行政院备查并统一公告即可,行政院的核定与否意义并不大。」
第四:资通安全会报的明文化
《资安法》修法的第四个重点,是将资通安全会报的地位明文化。根据《资安法》第五条规定,「为办理国家资通安全政策、应变机制与重大计划之咨询审议,协调各政府机关、中央及地方间之资通安全相关事务,行政院应召开国家资通安全会报,其幕僚作业由主管机关办理。」
张绍斌解释,自数位发展部及资安署成立后,立法院曾传出废止资通安全会报的声音。这种呼声的理由是,在已经设立相关主管机关和执行单位的情况下,资通安全会报可能被视为多余,增加了行政负担。然而,张绍斌强调,若发生需要跨部会沟通的资安事件,数位发展部或资安署的行政层级可能不足以有效协调,这时资通安全会报的存在就显得尤为重要。
资安会报由行政院副院长担任召集人,并由指定的政务委员或部会首长担任副召集人。这样的安排,使得资安会报成为一个适合跨部会沟通的平台,能够有效处理涉及多个部门的资安问题。
然而,张绍斌也提醒,这种委员会的架构存在一定的限制。虽然资安会报做出的决议可以约束政府机关,但由于委员会本身不承担政治责任,可能导致权责不相符的情况。这种「有权无责」的状况,可能削弱资通安全会报在实际操作中的效果。因此,他呼吁,在明文化资安会报地位的同时,也应考虑如何赋予其更明确的权责,以确保其在资通安全领域发挥应有的作用。
第五:资安稽核法制化的重要性
修法的第五个重点,在于将资安稽核法制化。根据《资安法》第八条第一项的规定,「资安署得定期或不定期稽核公务机关及特定非公务机关之资通安全维护计划实施情形。」然而,资安署目前面临的挑战是,公务机关及特定非公务机关的数量庞大,资安署本身的稽核能力有限,难以全面覆盖。因此,资安署只能依靠资安院及外聘专家学者,协助稽核工作。
目前的资安稽核涵盖三个层面:策略面、管理面和技术面。然而,张绍斌指出,策略面和管理面实际上只是管理学中的概念,缺乏明确的定义。至于技术面,虽然稽核人员可能具备技术专业,但他们往往不熟悉被稽核单位的核心业务和业务范围。此外,由于缺乏法律层面的配套措施,稽核工作也缺乏一致的标准。
张绍斌进一步强调,「稽核」这一概念本身并不是法律用语。公务机关内并没有专门的稽核单位,通常只有政风单位。相比之下,《个资法》提到的「行政检查」才是真正的法律用语。
由于稽核缺乏明确的律定标准,稽核结果的好坏往往受到稽核人员素质的影响。不同稽核员对同一问题的判断可能存在较大差异,甚至可能发生私相授受的情况,这些都导致了目前台湾资安稽核中的偏差现象。
除此之外,有些公务机关对于核心业务范围的定义存在问题,为了规避检查,他们可能故意缩小业务范围,这也会对稽核工作造成困难。张绍斌举例,有一个乡镇公所的人员在面对稽核时,表示他们没有核心业务,所有业务都是为了服务民众。这种说法显然不合理,稽核员对此当场提出质疑:「如果乡镇公所没有核心业务,那其存在的价值是什么?」
现阶段,资安稽核主要针对公务机关进行,特定公务机关则由中央目的事业主管机关负责。资安署得依法对公务机关及特定非公务机关进行稽核,确认其资通安全维护计划的实施情况。
张绍斌指出,稽核的本质在于确认实际行为是否与计划内容一致,这也与法规遵循的精神相符。然而,由于目前拟定资通安全维护计划缺乏法制人员的参与,如何将实际作为落实到资通安全维护计划,成为一大挑战。
张绍斌进一步解释,稽核实际上是一种督导或查核的形式,资通安全「管理」法并非资通安全「检查」法,应该推动公务机关和特定非公务机关的自律,透过自查来实现自律,再由外部稽核来法制化自查程序。
他强调,稽核并不一定能够防止所有问题的发生,但不进行稽核肯定会出问题。他引用了一项报告指出,稽核发现舞弊的机率只有4%,其余96%的舞弊案件是由警调调查或吹哨者揭露的。他总结道:「虽然查核不一定能防弊,但至少可以让那些有意图作恶的人保持警觉。」
第六:研考功能的保留与资安署的责任分工
张绍斌认为,应该让公务机关发挥原有的研考功能,而不是让资安署承担所有相关责任。根据《资安法》第八条第二项规定,「受稽核机关资通安全维护计划实施情形有缺失或待改善者,应提出改善报告。公务机关应将报告送交依第十四条规定收受其实施情形之机关,特定非公务机关则应送交中央目的事业主管机关审查后,再由该审查机关送交资安署。」
尽管中央部会已将研考会转型为国发会,许多机关部会甚至地方政府仍保有负责研考相关业务的部门。研考的意义在于运用科学方法,负责政策研究与规划,并追踪、管制及考核政府施政计划的执行情况。
张绍斌指出,《资安法》第七条规定,「公务机关及特定非公务机关应根据其业务重要性与机敏性、机关层级、保有或处理的资讯种类、数量、性质、资通系统的规模及性质等条件,报由资安署核定或备查其资通安全责任等级。」此外,《资安法》第八条第三项也规定,「收受改善报告的机关认为有必要时,得要求受稽核机关进行说明或调整。」同条第五项则规定,「资安署应拟订年度计划,并送由主管机关报请行政院核定后办理,年度计划及成果报告应送交国家资通安全会报备查。」
张绍斌认为,这些法条的规范内容本来就应属于公务机关的研考机制范畴,当资安署的管理量能无法承担如此庞大的业务时,应由相关部会机关的研考单位承担资安稽核的责任,特别是在法遵方面的稽核。
至于资安技术专业部分,他建议可以委由具备专业技能且忠诚可靠的业者负责。这样将技术面稽核与策略面、管理面及法遵面切割开来,能更好地落实资安稽核的各个层面。
摄影/洪政伟
第七:《资安法》应以情资分享为核心
修法的重点之一,在于应该将情资分享作为《资安法》的核心,而不仅仅是偏重于稽核。根据《资安法》第九条第一项的规定,资安署应建立资通安全情资分享机制。然而,张绍斌指出,目前的《资安法》更偏向于落实稽核的法制化,并在多条条文中对此进行了详细规范,然而,情资分享的部分却只有一条规定。从法的结构来看,这实际上削弱情资分享在《资安法》的重要性。
情资分享是资通安全的关键环节,涉及国内外资通安全资讯的交流,以及资通安全警讯的发布等技术性事务。张绍斌认为,《资安法》应该将情资分享视为真正的核心,因为只有通过有效的情资分享,才能够及时识别和应对潜在的资安威胁。然而,目前的法律结构过度强调稽核,使得情资分享的功能被弱化,这是不利于整体资通安全的。
在情资分享的基础上,如果发生资安事件,通报应变就变得至关重要。根据修法重点的第二十四条第二项规定,特定非公务机关在知悉资通安全事件后,应立即向中央目的事业主管机关通报。这一规定强调了在资安事件发生后,迅速通报的重要性,以便相关部门能够及时采取应对措施,减少损失。
然而,如果未能按照规定进行通报,将面临严重的法律后果。根据《资安法》第二十九条的规定,特定非公务机关未依规定通报资通安全事件的,将由中央目的事业主管机关处以新台币三十万元以上、五百万元以下的罚锾,并令其限期改正。若在规定期限内未能改正,将按次处罚,进一步加重处罚力度。
此外,《资安法》第三十条进一步强调了对违反资通安全维护计划或通报应变机制的惩罚措施。根据该条款,特定非公务机关如果违反相关规定,将被中央目的事业主管机关令其限期改正,届期未改正者,将按次处以新台币十万元以上、一百万元以下的罚锾。
这些罚则的设立,目的在强化资通安全管理,确保各机关和单位在资安事件发生后能够及时通报并采取有效的应对措施。张绍斌认为,虽然法制化稽核能够提高对资安的监管力度,但若没有强有力的情资分享机制作为支撑,资通安全的整体效能将大打折扣。因此,修法应更加重视情资分享,确保其在资安法中能够发挥应有的作用,以达到真正的资通安全保护目标。
第八:重新检视罚则是否符合比例原则
张绍斌认为,修法的第八个重点应该是重新检视特定非公务机关违反资安通报义务,与违反资通安全维护计划的罚则。他指出,根据现行法律,未能通报资安事件的处罚为新台币三十万元以上、五百万元以下罚锾,而违反资通安全维护计划的罚款则仅为十万元以上、一百万元以下。这样的惩处安排,显示出通报义务的罚则明显更为严厉。
他质疑,虽然强化非公务机关的资安通报义务是有必要的,但从法律的处罚角度来看,这种设置似乎违反了比例原则。资通安全维护计划的违反,理应也是对企业内部资安管理的重大疏失,但其处罚却远低于通报义务的违反。
比例原则要求,法律处罚应与违规行为的严重程度相符,过重或过轻的处罚都可能产生不公平的情况。张绍斌认为,目前的罚则设置对违反资通安全维护计划的行为惩罚过轻,可能导致一些机构在实际操作中缺乏遵守这些规范的积极性。与此同时,对于通报义务的过重处罚则可能会让机构过度恐惧,不敢主动揭露潜在的资安风险。
他建议,应该重新检讨这些罚则,确保处罚的设置更加合理且符合比例原则,既要保障资通安全通报机制的有效运行,又不应过度惩罚违规者。这样的调整不仅有助于提高《资安法》的执行效率,也能够促使更多企业主动遵守资安规范,从而达到更好的资通安全保护效果。
第九:资安业务可委外,但责任不可委外
资安法修法重点之一,应该是强调资安业务虽然可以委外,但公务机关或特定非公务机关的责任不能委外。根据《资安法》第十条第一项规定,公务机关或特定非公务机关在委外进行资通系统建置、维运或资通服务时,应选择适当的受托者,并要求其建立有效的资通安全管理机制,同时负责监督该机制的实施。同条第二项进一步规定,委外时必须签订书面契约,明确双方的权利义务及违约责任。
张绍斌指出,《资安法》的条文虽然允许委外,但实务上,委外的责任画分往往模糊不清。当公务机关发生资安事件时,常常将责任推给外包厂商,无论是因为设定错误还是系统老旧未更新,总是厂商被指为过失的主因。他强调,机关或特定非公务机关应该承担更多的资安责任,而不应仅依赖外包厂商。
为进一步说明责任画分的问题,张绍斌拿《资安法》与《个资法》进行比较。《个资法》第四条规定,受公务机关或非公务机关委托处理个人资料的单位,应视同委托机关,这意味著,尽管业务可以外包,但委托者仍需负全责。相比之下,《资安法》在这方面的规范较为模糊,导致机关或非公务机关在遇到资安问题时,可能倾向于将责任推卸给外部厂商,而未能承担应有的法律责任。
张绍斌认为,这样的责任界定不仅在实务中产生了问题,也违背了「责任不可外包」的原则。他呼吁,立法院应在此次《资安法》修法过程中,参考《个资法》的具体条文,明确规范资安责任不能委外。这样可以确保无论是公务机关还是特定非公务机关,都能在委外执行资安业务时,依然对其资安防护承担最终责任。
此外,张绍斌进一步指出,除了明确委外责任,监管机构在稽核过程中也应该更加关注委托机关的监督责任。尽管受托者在合同中承担了违约责任,真正的资安防护还需要委托机关具备相应的监管能力。这不仅是对外包厂商的要求,更是对机关自身资安管理能力的检验。
总之,修法应当重申「资安业务可以委外,但责任不可委外」的原则,强化机关的自律与监管责任,这样才能在日益复杂的数位环境中,维护国家与企业的资通安全。
第十:禁用危害国家资通安全产品
美国前众议院议长裴洛西于2022年8月访台后,发生统一超商以及台铁火车站电子看板遭骇事件,《资安法》也在此次修法中,要求公务机关及特定非公务机关委外营运的公共场所的视听设备,禁用危害国家的资通安全产品。(图片来源/王浩宇脸书)
修法的第十条,是各界关注的焦点之一,主要针对新增的「禁用危害国家资通安全产品」条文。
根据《资安法》第十一条第一项的规定,公务机关不得下载、安装或使用危害国家资通安全的产品;即使是在自行或委外营运场所提供公众视听或网路接取服务,这样的产品也被禁止使用。唯一的例外是当业务需求无法替代,且经机关资通安全长核可后,才能专案方式使用并列册管理。
此外,《资安法》第二十七条第一项对特定非公务机关也有类似的限制。该条款明确指出,中央目的事业主管机关得限制或禁止特定非公务机关使用危害国家资通安全的产品,尤其是在公共视听设备或网路接取服务中。同样地,如果业务需求无法替代,且经核可,特定非公务机关也可以专案方式使用并列册管理。
然而,张绍斌指出,这项修法存在的最大问题是,政府至今尚未公布明确的「危害国家资通安全」产品清单。虽然法律要求公务机关与特定非公务机关不得使用这些产品,但目前外界多以禁用中国品牌产品作为参考标准。
这样的标准,虽然直观,但并不完善,因为现代的许多3C产品,包括苹果手机,都是在中国制造。政府担心公布禁用清单后,可能会出现企业改贴牌、代工、钻法律漏洞等问题,进一步影响政策实效。
目前条文中的「不得下载、安装或使用危害国家资通安全产品」主要针对的是软体和应用程式(App),尤其是那些可能涉及国家安全的工具。张绍斌建议,政府应该对网路产品进行分类,并根据重要性来进行分级管理。这样的分级系统可以包括强制性标准、自愿性标准。针对最关键的网通产品,应制定强制性标准,公务机关不得采购抑或排除在下载清单外,以确保国家安全;而对于影响相对较小的产品,则可以列为自愿性规范。
张绍斌进一步指出,中国的《网路安全法》已经针对不同类别的网通产品进行了重要性分级,并依照这些级别制定了不同的安全标准。而台湾目前的《资安法》,仅仅针对公务机关和特定非公务机关的资通系统,基于资安和国安考量来限制或禁用软、硬体与App。然而,这样的制度其实可以再细致化分类与管理精细度。
此外,张绍斌认为,资安署目前不愿公布禁用清单,导致公务机关和特定非公务机关在使用产品时,无法明确判断该产品是否存在于禁用范围内。虽然他们可以向资安署进行咨询,但这样的行政流程繁琐且效率低下,增加了不必要的负担。他认为,与其进行如此低效的流程,不如直接公布清单,并由经济部标准局统一公告,让各机关能够快速判断,从而提高整体运作效率。
最后,他提醒,仅以「中国品牌」作为禁用标准并不合理。现代许多关键3C产品已经在中国制造,单凭产地来限制产品的使用,并不能有效保障国家资通安全。最理想的方式还是要根据网通产品的内容并重要性进行分级,并制定不同强度的标准,来作为安全管理的依据。这样既可以避免过于僵化的禁用规定,也能更灵活地应对现代复杂的资安挑战。
从《资安法》第十条制定禁用「危害国家资通安全产品」的规范,但若要真正落实并提高资通安全水平,应该更明确界定产品范围,并采用更为精细化的分级管理系统。这不仅有助于提升政策的执行效果,也能在全球供应链日益复杂的情况下,平衡安全与技术发展的需求。
第十一:检视资安专职人员的适任性查核是否妥适
《资安法》第十九条对资通安全专职人员的适任性查核做了规范,其中提到「公务机关得对所属资通安全专职人员进行适任性查核」,以及「主管机关得于录取资通安全人员后,进行适任性查核」。这一条文的制定,旨在确保国家机密不受泄露,特别是在委外厂商或特定人员涉入机密业务时,必须进行严密的背景检查,以确认其具备相应的可信度与资格。
对于适任性查核的具体内容,张绍斌指出,这通常包括查核人员是否有泄密之可能或有其他重大犯罪记录,并评估该业务的机密等级与人员是否符合规范。这样的查核虽然在国家安全层面有其必要,但张绍斌认为,只有业务单位和用人机关才最了解哪些工作涉及机密,这与公务人员的职等或位阶无关。
他说,但是在「榜示后」即实施此种安全调查,无疑就是对其在应公职考试前的家庭背景、就学经过、生活及交友状况予以全盘性的检视;纵有此种必要,应该在报考公职的简章中明文揭示。此种查核,连报考军校都极为罕见,这样的查核应该由谁来发起、如何进行,成为一个值得讨论的问题。
此外,张绍斌也质疑,《资安法》新增的适任性查核规定,是否已经超越了现有的人事机关职权范畴。他强调,公务人员在通过考试院的相关考试后,已经接受过身份及能力的查核。铨叙部、行政院人事总处负责的现行公务员任用制度,已经确保了人员的合法性与适任性,果真有此种必要或实施的效益,有应该在应考资格上予以明确记载不得报考,否则无异对该「榜示后」之考生贴上「不忠诚」之标签,严重影响该考生考评及未来的升迁,因此,他对《资安法》新增的这一查核条文,是否会破坏现行制度的设计有所怀疑。
事实上,公务人员的任用和考核制度早已有一套完整的体系。张绍斌进一步指出,公职人员的任用流程本来就应该由行政院人事总处与铨叙部负责,这套系统已经能够确保任用人员的资格审核。如果《资安法》要求数发部进行额外的适任性调查,这是否会造成机关间职权重叠,影响现有的文官任用运作?
《资安法》第十九条的修订,针对资安专职人员的适任性查核做了强化规定,然而,适任性查核的实施细节、查核的发起者以及是否与现行人事制度重叠,成为此修法条文的焦点与挑战。他认为,对于如何避免制度上的冲突,并且在保障国家安全的同时,不损害公务人员的权利,仍有待进一步讨论和细化规范。
专家剖析《资安法》修法11大重点
第一 应打破官民分治法律框架
第二 主管机关从行政院更替为数位发展部
第三 特定非公务机关公告的必要性
第四 资通安全会报的明文化
第五 资安稽核法制化的重要性
第六 研考功能的保留与资安署的责任分工
第七 应以情资分享为核心
第八 重新检视罚则是否符合比例原则
第九 资安业务可委外,但责任不可委外
第十 禁用危害国家资通安全产品
第十一 检视资安专职人员的适任性查核是否妥适
资料来源/iThome整理,2024年9月